警惕你的PDF文檔 騰訊安全專家一年發(fā)現(xiàn)過(guò)百漏洞

　　5月24日，2017年中國(guó)網(wǎng)絡(luò)安全年會(huì)在青島正式開(kāi)幕。來(lái)自騰訊、華為、浪潮、東軟等十?dāng)?shù)家安全廠商的專家、研究人員云集為網(wǎng)絡(luò)安全建言獻(xiàn)策。受近期“WannaCry”病毒危及用戶文檔的影響，來(lái)自騰訊安全聯(lián)合實(shí)驗(yàn)室玄武實(shí)驗(yàn)室的技術(shù)專家劉科，在安全工匠分論壇上專門針對(duì)當(dāng)下使用極為普遍的PDF文檔軟件的漏洞挖掘?qū)嵺`進(jìn)行了主題演講。

　　據(jù)悉，騰訊安全聯(lián)合實(shí)驗(yàn)室玄武實(shí)驗(yàn)室自2015年12月啟動(dòng)PDF漏洞研究以來(lái)，一年時(shí)間內(nèi)發(fā)現(xiàn)并向軟件廠商報(bào)告了122個(gè)漏洞，涵蓋Adobe Acrobat and Reader、Foxit Reader、 Microsoft Edge、Google Chrome和OS X Preview、Adobe Digital Editions等主流閱讀器和瀏覽器。

　　劉科介紹稱，PDF作為一種用戶和企業(yè)經(jīng)常使用的文件格式，有著繁瑣復(fù)雜的代碼文檔和字體圖片等豐富多樣的特性，與近期被黑客利用的Office漏洞一樣，文件格式往往具有跨平臺(tái)的特點(diǎn)，一旦文件格式存在安全漏洞，不管目標(biāo)主機(jī)是Windows還是Linux系統(tǒng)都可輕易被攻破。由于這一特性，使得文件格式漏洞攻擊越來(lái)越受黑客的青睞，若存在文件格式漏洞并被惡意利用，受影響的用戶眾多，危害性極大。因此，深入分析和研究PDF文件格式漏洞具有非常重要的意義。

　　劉科在現(xiàn)場(chǎng)對(duì)騰訊安全聯(lián)合實(shí)驗(yàn)室玄武實(shí)驗(yàn)室團(tuán)隊(duì)挖掘PDF漏洞過(guò)程中，從尋找PDF攻擊面到獲取測(cè)試樣本，以及最終展開(kāi)PDF漏洞挖掘的技巧和經(jīng)驗(yàn)進(jìn)行了深度分享。

　　期間，針對(duì)測(cè)試樣本，劉科給出了三點(diǎn)建議：

　　一、更多的測(cè)試樣本意味著更高的代碼覆蓋度，而更高的代碼覆蓋度意味著可以發(fā)現(xiàn)更多的Crash;

　　二、不要輕易浪費(fèi)測(cè)試樣本，可以使用 AFL / libFuzzer 對(duì)開(kāi)源庫(kù)進(jìn)行 Fuzz，并使用生成的測(cè)試樣本來(lái)測(cè)試閉源的二進(jìn)制文件。

　　三、復(fù)用開(kāi)源項(xiàng)目的測(cè)試集，流行的開(kāi)源項(xiàng)目通常會(huì)維護(hù)一個(gè)測(cè)試集，其中有大量的測(cè)試樣本(包括合法和非法的樣本文件)

　　而作為外界重點(diǎn)關(guān)注的漏洞挖掘技巧分享環(huán)節(jié)，劉科則在現(xiàn)場(chǎng)向大家作了重點(diǎn)闡述和案例分析：

　　一、通過(guò)編寫 PDF 轉(zhuǎn)換器，將文件或者數(shù)據(jù)轉(zhuǎn)換為 PDF 文件，可以實(shí)現(xiàn)只變異感興趣的文件格式或者數(shù)據(jù)。需要注意的是，使用第三方的 PDF 庫(kù)，可控性略差，可能丟失部分測(cè)試用例，而自己動(dòng)手編寫的轉(zhuǎn)換器，則完全自主可控，二者可以根據(jù)實(shí)踐環(huán)境擇優(yōu)使用。

　　二、檢查是否使用了開(kāi)源或閉源的第三方庫(kù)，根據(jù)情況對(duì)Fuzz 第三方庫(kù)進(jìn)行有效利用。在實(shí)踐過(guò)程中發(fā)現(xiàn)，使用 AFL / libFuzzer Fuzz 開(kāi)源庫(kù)更加高效，即使閉源，單獨(dú) Fuzz 庫(kù)文件也會(huì)更加高效。但需要注意的是，第三方庫(kù)會(huì)受到0Day漏洞影響，可能還會(huì)受到已知漏洞影響，在利用時(shí)需要注意。

　　針對(duì)這項(xiàng)實(shí)踐技巧，劉科利用LibTIFF案例來(lái)做了進(jìn)一步更加深入的闡述。通過(guò)Fuzz第三方庫(kù)挖掘CVE-2016-5875 LibTIFF PixarLogDecode漏洞的過(guò)程中，四款PDF閱讀器中僅有Adobe Reader DC未受影響。

　　三、不要直接 Fuzz 龐大的 PDF 閱讀器 / 瀏覽器;反復(fù)的創(chuàng)建進(jìn)程會(huì)耗費(fèi)大量時(shí)間，會(huì)使得加載大量不必要的庫(kù)文件，以及進(jìn)行大量不必要的初始化操作。在實(shí)踐過(guò)程中，騰訊安全聯(lián)合實(shí)驗(yàn)室玄武實(shí)驗(yàn)室發(fā)現(xiàn)，GUI可能也是不必要的，但這個(gè)要根據(jù)具體情況來(lái)操作。

　　四、在編寫包裝程序(Wrapper)的過(guò)程中，建議忽略無(wú)關(guān)的操作，只關(guān)注感興趣的部分。同時(shí)，劉科還分享了有利于程序編寫的資源庫(kù)及方法，開(kāi)源軟件推薦PDFium 的 libFuzzer 模塊，F(xiàn)oxit Reader提供SDK，Windows PDF Library提供API，Adobe Acrobat Reader可以通過(guò)逆向分析找到接口函數(shù)。

　　針對(duì)近期爆發(fā)的針對(duì)Office文件的“WannaCry”勒索病毒，劉科表示，早在今年3月，微軟就已經(jīng)發(fā)布補(bǔ)丁，但由于多數(shù)用戶未及時(shí)升級(jí)電腦，因此極易遭受攻擊。這在進(jìn)一步反映出用戶對(duì)于網(wǎng)絡(luò)安全的危機(jī)意識(shí)的薄弱狀態(tài)之外，也提醒安全廠商，在攻擊多樣化的今天，研究人員需要繼續(xù)與時(shí)間賽跑，搶在黑客之前挖掘并向廠商報(bào)告漏洞。

　　據(jù)悉，此次“WannaCry”病毒爆發(fā)后，騰訊安全就迅速組織人力，開(kāi)發(fā)出包括勒索病毒離線版免疫工具、文檔守護(hù)者工具、文件恢復(fù)工具在內(nèi)的安全工具，第一時(shí)間遏制了病毒危害。

　　劉科在演講中提醒還公眾注意，黑客在尋找漏洞的過(guò)程中，永遠(yuǎn)都是由面到點(diǎn)，層層挖掘，任何一個(gè)漏洞都可能造成用戶的損失，在網(wǎng)絡(luò)安全形勢(shì)日趨嚴(yán)峻的今天，企業(yè)和用戶再不能抱著過(guò)去“離我還很遠(yuǎn)”的心態(tài)來(lái)應(yīng)對(duì)。